DevSecOps - русскоговорящее сообщество

16 Nov 2023 11:29

у вас какаято персонализированная версия.... у меня например duckduckgo не показывает вашу ссылку по вашему запросу

DevSecOps - русскоговорящее сообщество

08 Nov 2023 09:55

Задал вопрос Bitrix по поводу свежих уязвимостей.

Придраться не к чему так-то..

DevSecOps - русскоговорящее сообщество

26 Oct 2023 10:32

кто сталкивался с таким ?

DevSecOps - русскоговорящее сообщество

24 Oct 2023 19:46

Я зарегался, как понять, что всё ок? Придёт какой-то билет или что?

DevSecOps - русскоговорящее сообщество

24 Oct 2023 16:33

Вот что значит, не протестировали 😂

DevSecOps - русскоговорящее сообщество

28 Sep 2023 08:52

А ансиблом можно обновлять пакеты сразу на всех вм?

DevSecOps - русскоговорящее сообщество

27 Sep 2023 20:51

А масштабируемый кластер проще всего с помощью чего сделать? Я просто выбираю, какие инструменты изучать

DevSecOps - русскоговорящее сообщество

27 Sep 2023 20:42

грубо говоря у них есть кластер маштабируемый с гуляющими crawler.

все тоже самое можно вполне развернуть на serverless с превосходной маштабируемостью и большим пулом IPшников

DevSecOps - русскоговорящее сообщество

27 Sep 2023 18:33

Всем привет!
С разрешения админа пишу приглашение))

Мы компания Росукреп.
Приглашаем принять участие в бета-тестировании нашего Kubernetes TKG.

Участникам нужно будет развернуть и проверить, как работает какое-либо ваше тестовое приложение в кластере Kubernetes.

Период тестирования: 14 дней в удобное время.
Обеспечивается вся техническая поддержка.
По окончании теста собираем обратную связь в форме 15-ти минутной ВКС.

В качестве благодарности первые 3 откликнувшиеся на приглашение получат 90 дней бесплатного пользования IaaS или Kubernetes, остальные участники получают 45 дней бесплатного использования одного из этих продуктов. 🤗

Кому интересно, прошу написать мне в личку или на емейл nvoronova@rosukrep.ru. с уважением, Надежда

DevSecOps - русскоговорящее сообщество

23 Sep 2023 18:15

Привет,пока что приходит на ум https://docs.docker.com/storage/volumes/

docker run -d -p 5000:8000 --name prod_container -v /path/on/host:/path/in/container $CONTAINER_IMAGE"

/path/on/host — тут путь к директории на хост-системе, где будут сохраняться файлы.
/path/in/container — путь внутри контейнера, куда будет примонтирована эта директория. Файлы которые внутри контейнера в указанной директории, будут сохраняться на хост-системе при перезапуске контейнера

DevSecOps - русскоговорящее сообщество

18 Sep 2023 18:35

другой сканер их успешно детектирует

DevSecOps - русскоговорящее сообщество

18 Sep 2023 18:34

кто нибудь юзал License Finder от pivotal для node.js?

DevSecOps - русскоговорящее сообщество

09 Sep 2023 15:40

Improve your API Security Testing with Burp BCheck Scripts

https://danaepp.com/improve-your-api-security-testing-with-burp-bcheck-scripts

DevSecOps - русскоговорящее сообщество

07 Sep 2023 11:25

Burp enterprise не умеет сканировать API.
Пока что.

DevSecOps - русскоговорящее сообщество

07 Sep 2023 10:05

Таких нет)
Надо zap заставить работать)


Есть wfuzz, но он больше для фаззинга. Нормально анализировать он не умеет

DevSecOps - русскоговорящее сообщество

13 Nov 2023 02:51

Привет! Я правильно понимаю, что на картинке стебутся, что LXD теперь точно в надёжных руках?

DevSecOps - русскоговорящее сообщество

02 Nov 2023 10:50

Чат, привет! Хочу поделиться с вами интересным кейсом.

Задумались с коллегами о том, почему сегодня люди все чаще обращаются к ChatGPT? Когда времени впритык, он становится не только лучшим другом, но и инструментом для быстрого поиска.

Мы решили написать приложение по доставке еды, добавить туда уязвимости и на видео показать, как его можно взломать. Использовали ChatGPT, чтобы написать код, а потом самостоятельно вставить в него ошибки. Но что-то пошло не так…

Столкнулись с проблемой, что нужно разбираться не только в коде, но и владеть навыками разработки безопасного кода и security code review. Без них сложно заметить, что ChatGPT допустил ошибку и добавил в код уязвимость.

Какие мы сделали выводы, и как не допускать ошибок разработчикам можно узнать в материале на Хабре.

P.S. Подготовили также обучающее видео, приятного просмотра :)

DevSecOps - русскоговорящее сообщество

25 Oct 2023 17:15

На почту должен придти билет

DevSecOps - русскоговорящее сообщество

24 Oct 2023 19:42

Уже на этой неделе в Екатеринбурге пройдет ежегодная конференция Код ИБ (https://codeib.ru/event/kod-ib-2023-ekaterinburg-2023-10-26-466/page/vvedenie-ekaterinburg-2023), которая пройдет при поддержке Минцифры России.

🗓 26 октября, 9:30
📍AZIMUT Сити Отель. Бахчиванджи, 55а

В программе:

- ВВОДНАЯ ДИСКУССИЯ: ТЕХНОЛОГИИ. ПРОЦЕССЫ. ЛЮДИ
Обсуждаем резонансные события из мира ИБ, даем оценку актуальным угрозам, оцениваем тенденции ИБ отрасли.

- СЕССИЯ: ДИАЛОГ С РЕГУЛЯТОРОМ
Получаем разъяснения актуальных вопросов от Николая Киршина (Начальник отдела Управления ФСТЭК по Уральскому Федеральному округу)

- СЕССИЯ: ТЕХНОЛОГИИ
Спикеры:
Сергей Меньшков, руководитель направления по внедрению цифровых решений Урал и Центр, МегаФон
Алексей Шайдоков, директор Лиан Медиа
Руслан Бугаев, руководитель отдела развития бизнеса Secure-T
Денис Чихачев, менеджер по работе с ключевыми заказчиками RuSIEM
Сергей Жужгов, presale-инженер Ideco
Антон Игнатов, старший менеджер по работе с партнерами Нума Технологии

- СЕССИЯ: ОПЫТ
Спикеры:
Артем Бачевский, CTO Runtime Security, MTS RED
Людмила Застылова, руководитель обособленного подразделения, АО РАСУ
Анна Христолюбова, независимый эксперт
Юлия Паньшина, советник предпринимателей, эксперт по поиску сотрудников, hh.ru
Наиль Хатемиров, директор по информационной безопасности Уралмашзавода

- ШТАБНЫЕ КИБЕРУЧЕНИЯ
Артём Избаенков, член правления АРСИБ и член ISDEF, директор по развитию направления кибербезопасности EdgeCenter
Александр Сальников, старший специалист по ИБ АО Перспективный мониторинг

Приходите сами и приглашайте коллег. Не упустите возможность расширить свои компетенции.

Осталось всего 20 мест, успевайте регистрироваться на сайте (https://codeib.ru/event/kod-ib-2023-ekaterinburg-2023-10-26-466/page/vvedenie-ekaterinburg-2023) конференции
# одобрено администратором

DevSecOps - русскоговорящее сообщество

24 Oct 2023 15:23

Всем привет! 30 ноября мы проводим VK Security Meetup и сейчас в поиске крутых спикеров. Если у вас есть тема для доклада по теме безопасной разработки, подходов, практики и инструментов в сфере информационной безопасности, вы готовы поделиться опытом с сообществом — присылайте идеи для выступления до 2 ноября. Продолжительность выступления: 30-40 минут. Если есть вопросы или нужно больше деталей — пишите в лс.
*приглашение разместила с разрешения администраторов канала.

DevSecOps - русскоговорящее сообщество

28 Sep 2023 07:12

Аля Elk стек и для бд и для логов
Пакером собрать образ для виртуалок, ансиблом раскатывать конфиги

DevSecOps - русскоговорящее сообщество

27 Sep 2023 20:50

С серверлес конечно было бы хорошо, но еще нужны аккаунты для парсинга, то есть не только в ip дело. Один аккаунт сразу с нескольких ip нельзя использовать, это бан. То есть хорошо бы его привязывать к 1 вм

DevSecOps - русскоговорящее сообщество

27 Sep 2023 18:59

Всем привет. Что посоветуете, если мне надо много вм, но единую базу данных и единые логи (на единый диск). Желательно еще, чтобы новые вм можно было быстро добавлять, с тем же окружением, но с другим набором сессий для авторизации (набором аккаунтов).
Если грубо, меня интересует, как работает парсинг на у таких ребят как ahrefs, serpstat, keysso и тд. Аккаунты гугла и яндекса они точно используют, парсят с авторизацией

DevSecOps - русскоговорящее сообщество

24 Sep 2023 00:49

Привет ALL! есть у кого пример application.yml spring boot для обращения приложения из pod к secret k8s для подключению/вычитки данных из vault?

DevSecOps - русскоговорящее сообщество

23 Sep 2023 17:58

Ребят, здравствуйте!

Можете пожалуйста подсабить с такой проблемой, у меня настроен ci/cd. Проект на Djnago.


У меня есть логика на создание файла, который на данный момент сохраняется в папке, указаной в модели.

Сама проблема, при каждом новом деплое, у меня пересоздаётся контейнер и следовательно файлы нужно создавать заново. Как можно исправить этот момент?

Код :
deploy-job:
tags:
- vm-sheller
stage: deploy
before_script:
- chmod 400 $SSH_KEY
script:
- ssh -o StrictHostKeyChecking=no -i «Подключение к серверу по SSH»
docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY &&
docker stop prod_container &&
docker rm prod_container &&
docker run -d -p 5000:8000 --name prod_container $CONTAINER_IMAGE"

- echo "Успешное подключение к prod-серверу"
only:
- master

DevSecOps - русскоговорящее сообщество

18 Sep 2023 18:35

license finder для всех модулей из package.json проставляет как unknown, хотя с лицензиями для модулей там все ок

DevSecOps - русскоговорящее сообщество

09 Sep 2023 15:41

Это не для enterprise

DevSecOps - русскоговорящее сообщество

09 Sep 2023 15:38

Ограничено умеет https://portswigger.net/burp/documentation/scanner/scanning-apis
Зависит сильно от реализации
Для рест фаззер https://github.com/Endava/cats
Остальное в полуручном режиме, так как сканеры из того же owasp API top 10 все не покроют

DevSecOps - русскоговорящее сообщество

07 Sep 2023 10:20

Для даста можно еще пробовать nuclei и burp (правда будет платным), я слышал еще для API можно попробовать - https://blstsecurity.com/cherrybomb

DevSecOps - русскоговорящее сообщество

07 Sep 2023 09:47

всем привет!
посоветуйте опенсорсный api scanner для поиска уязвимостей?
Похоже, что у меня руки кривые, так как я не могу заставить zap api scan корректно работать и сканить заведомо уязвимое API приложение.